合规风险管理

合规管理、内部控制及风险管理浅析之一

——合规管理与内部控制

随着经济的发展，越来越多的企业意识到加强内部管理的重要性，合规管理、内部

控制及风险管理也逐渐被接受。因此，在不同企业内，就有了风控部、或合规部、或内

控管理部等，当然也有企业把前述管理职责纳入到法律事务部、或企业管理部等，且不

同行业、不同企业所规定的内控、风控等管理职责及做法也不一致，似有乱花渐欲迷人

眼之感！那么，合规管理、内部控制及风险管理究竟包括什么？有什么区别或联系呢？

一、合规管理

合规，简单说就是“合乎规范”，通常包括三层含义：遵守公司所在国、经营所在国

的法律法规及监管规定；遵守企业内部规章和商业行为准则；遵守职业操守和道德规范。

合规管理指企业通过制定合规政策，按照外部法规的要求统一制定并持续修改内部

规范，监督内部规范的执行，以实现增强内部控制，对违规行为进行持续监测、识别、

预警，防范、控制、化解合规风险的一整套管理活动和机制。“有规可依、执规必严、违

规必究”，被称为合规管理三要素。

合规管理与业务管理、财务管理并称为企业管理的“三大支柱”。财务管理是通过回

顾企业三大报表，通过各种方法为下一报告周期的决策提供财务支持，告诉企业应该做

什么。而合规管理旨在告诉企业在具体的操作过程当中应当怎么做，具体到怎么合理的

做、合规的做、合法的做。

合规管理的起源及发展：

合规管理理念的产生与发展，与西方国家尤其是美国的公司治理实践密切相关。在

美国的政治和法律环境下，社会公众对企业遵守公序良俗及商业道德规范的较高期待，

影响政治体系形成立法，并转变为政府对企业监管的硬性规范要求。为杜绝违规所面临

的声誉损害、高额赔偿及刑狱之灾，合规管理就成为企业的必然措施，尤其是借钱经营、

从事高杠杆高风险业务而被高度监管的金融业企业。

早期的美国司法判例一般认为，企业不用为高管和雇员个人行为承担法律责任，企

业管理者因此没有动力建立合规管理体系。1977年颁布《海外反腐败法》后，这一情况

有了根本性变化，首次立法确立了企业的合规管理责任；1991年，美国联邦量刑委员会

颁布了《针对机构实体联邦量刑指南》，进一步激励公司增添合规管理措施；1998年，

巴塞尔银行监管委员会首先在金融业内倡导合规风险管理；2002年，《萨班斯法案》对

上市公司提出了建立合规体系的要求；高血糖吃什么药 2010年，OECD理事会通过了《内控、道德与合

规最佳行为指南》，成为发达国家大型跨国企业在商务活动中共同遵守的合规管理标准；

2014年，国际标准组织发布的“ISO19600《合规管理体系－指南》”，其目师恩如歌 的是为公司、

企业或其他任何一个组织设立一套行之有效的合规管理体系，并对该体系的实施、评估、

维护和改善提供指导。

合规管理的意义：

1、合规管理是企业稳健经营运行的内在要求，是防范违规风险的基本前提，是每一

个公司都必须要管理的一部分，且内控制度的完善也特别伤感的句子 离不开合规化的管理及操作。

2、合规化管理是规范员工行为的有效手段，通过建构科学的企业合规文化以及合规

体系，有利于避免员工的违规化操作。

3、合规化管理通过约束高层领导人员的相关行为，能够最大限度的减少决策失误而

带来的经营风险。

合规管理的实现

1、建立科学的合规文化体系，规范员工的行为及理念，从顶层设计入手防范员工的

合规风险

2、建设独立的、强势的合规部门，矫正员工日常当中的违规行为。

3、制定严格的合规激励机制，加强事后的奖惩力度，避免违规风险。

4、不定期对企业员工及高层人员进行合规化抽检，加入案例形成正面或者反面教材

加以宣传。

二、内控管理

内控是内部控制的简称，指一般公司企业内部的控制运作。

内控管理是企业为保证经营管理活动正常有序、合法的运行，采取对财务、人、资

产、工作流程实行有效监管的系列活动。具体目的包括：保证企业资产安全，财务信息

的准确性、真实性、有效性；保证对企业员工、工作流程、物流的有效的管控；建立对

企业经营活动的有效的监督机制，保证企业良好的自我调节能力。

内控管理的起源及发展：

雏形--蒙可马利于1912年提出内部牵制，以职务分电子课本人教版 离、帐户核对为主要内容

初步形成--逐渐演变成由组织结构、职务分离、业务程序、处理手续等因素构成的

控制系统。

成熟期--1988年，美国aicpa发布的《审计准则公告第55号》，以"内部控制结构"

代替"内部控制"，并提出内部结构的三要素：控制环境、会计系统和控制程序。

完善期--1992年的COSO报告提出内部控制整体框架，指出：内部控制是一个过

程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效

果和效率以及现行法规的遵循；内部控制整体架构主要由控制环境、风险评估、控制活

动、信息与沟通、监督五项要素构成。

2008年，由中国财政部等五部委颁布了《企业属兔和属鸡的合不合 内部控制基本规范》，要求在上市公

司范围内施行，并鼓励非上市的其他大中型企业执行。

内控管理的意义：

首先，从公司治理角度而言，公司管理和控制会从“人治”逐渐演为“法治”，并向

职业经理人管理时代过渡，对管理层的信任由关键股东延伸至其他股东及其他利益相关

者。夏至节气

其次，从公司经营管理角度而言，通过健全内控制度、明确企业各部门职责、能促

使公司管理管控力量升级，整体转氨酶偏高的原因及危害 效率得以提升

内控管理的实现：

1、预测：管理层对资产、财务、以各种经营活动数据进行分析，得出经营发展的

相关风险，合理确定对应的应对策略；

2、控制：以企业预测结果为导向、以流程管理为方法，针对已经或者将要发生的

风险进行提前控制。

3、监督：企业内控监督是保证企业内控措施有效实行必要手段。

也可将内控管理简单概况为：决策有依据，执行有标准，结果有评价；事前有计划，

事中有监控，事后有检查。

四、合规管理与内控管理区别

首先，合规管理是最基础的层面，是内控的一个重要方面，也是风险管理的一个关

键环节。合规管理的本质不在风险管理，它只是机械的避免违反内外部法规制度，并尽

力杜绝朝令夕改、各自为政的现象。从结果上看，在一定程度上能控制操作风险，但控

制力度多大、是否够用，并不是合规管理所关注的，也不是它能解决的。

其次，以COSO框架为代表的内部控制，是合规管理的终极版，也可以说是操作风

险管理的终极版。内部控制的重点任务，是在防止账务、经营成果（财务报表）、经营行

为上的串通舞弊和个人舞弊风险（即对企业部分内部风险的控制）！因此，内部控制不但

要求合规，还要考察“规”是不是完善、有没有相适应的执行点、执行过程是不是有效。

如果说合规管理更注重结果，只要结果合规就好，相对而言，内部控制则更重视过程，

并在此基础上发展出整套完善的工具和方法。